Mostrando entradas con la etiqueta PS3. Mostrar todas las entradas
Mostrando entradas con la etiqueta PS3. Mostrar todas las entradas

miércoles, 27 de abril de 2011

Sony la caga otra vez:posible robo masivo de datos personales en PSN


Playstation network es el "online" de sony. No se caracteriza por su estabilidad, pero es (o era) una apuesta decidida de sony por el los modelos de negocio online... cuando el otro día, la "apagaron" sin mediar muchas explicaciones, pensé que podía ser por una de dos razones:

1) la habían cagado con algún tema de seguridad
2) iban a cagarla (es decir, iban a  intentar atajar el tema del pirateo con algún cambio gilipollas que molestaría a los usuarios y no lograría molestar a los hackers más de un par de días antes de saltárselo)

Dado el historial de sony, supuse que era lo segundo. Pero...¡ay!, subestimé la capacidad de cagarla del mismo equipo que considera que el número 4 es siempre un número aleatorio...

Resulta que, en palabras de Sony:

creemos que personas no autorizadas han podido obtener vuestra información personal: nombre, dirección (ciudad, provincia, código postal), país, dirección  de correo electrónico, fecha de nacimiento, nombre de acceso y contraseña de PlayStation Network/ Qriocity, y PSN ID.  Es también posible que vuestros datos de perfil así como historial de compra, y dirección de cobro(ciudad, provincia, código postal), y preguntas de seguridad de acceso a vuestras cuentas de PlayStation Network/ Qriocity hayan sido obtenidos.[...]. A pesar de no haber evidencia de que los datos de tarjeta de crédito hayan sido obtenidos no podemos negar esta posibilidad. Si has facilitado tus datos de tarjetas de crédito a través de PlayStation Network o Qriocity, debemos contemplar por motivos de seguridad,  la posibilidad de que el número de la tarjeta de crédito (no incluyendo el código de seguridad), y la fecha de expiración de la misma hayan sido también obtenidos.

(las negritas son mías)

Ehm... vale... a ver... usuario, email, dirección... hum... vale... pero...¿contraseña? ¿¿¿CONTRASEÑA??? 
¿hay alguien en sony que sepa lo que es md5 o han implementado la función md5 con un "return 4;", como hicieron con el random?




Es muy fácil hablar a toro pasado, y, sobre todo, sin saber todavía de dónde ha venido la intrusión y cuál era la arquitectura del sistema de seguridad de la PSNetwork, y más teniendo en cuenta que cualquier programador que se precie sabe que TODOS los sistemas tienen agujeros de seguridad,...pero hay cosas MUY básicas que un sistema del tamaño de la Playstation Network debería observar (si no lo hace todavía):

  • Nunca, nunca, nunca, se debe poder acceder a tus bases de datos desde FUERA de tu red de confianza. En la puta vida. Ni siquiera al backend de clientes. Si quieres que alguien acceda desde fuera, por VPN segura.
  • Ninguna API web de tu sistema de servidor debe poder acceder a todos los datos de todos los usuarios; ni de una sola vez, ni mediante sucesivas llamadas automatizables (se pueden utilizar sistemas de reto variables)
  • El acceso a tu sistema para obtener datos sensibles se debe hacer mediante APIs que permitan autenticación, las claves nunca deben viajar en claro, los accesos críticos de seguridad deberían ir por SSL.
  • Las claves de los usuarios deben ir, como mínimo, hasheadas* en MD5 (y con un valor "salt" para evitar ataques con rainbow tables, como bien ha apuntado un follower)
  • Por si le echan la culpa a (directa o indirectamente) a GeoHotz y otros conocidos hackers: La seguridad de tu entorno servidor NUNCA puede depender de la seguridad de tu entorno cliente; Si depende de alguna manera, la has cagado bien.
  • Si te pones muy paranoico, los datos de tarjetas de crédito NO deberían estar almacenados en la misma máquina que los del usuario; se puede diseñar un sistema en el que se genere un hash de autorización con salt (parecido a oAuth); de esta manera, cuando el usuario compra algo, se usa este hash para identificar la tarjeta en una base de datos de medios de pago exclusivamente accesible por la máquina que pide el pago

Ahora, según Sony, tendremos que dedicarnos a mirar detenidamente si en nuestras cuentas se producen "movimientos" sospechosos. Cojonudo. No tenía yo otra cosa que hacer....


*mil perdones por el palabro. Escribo esto de carrerilla a las 2 a.m :-P



¿quieres leer más tiras? Entra en el listado de tiras y escoge!

Puedes usar esta tira libremente,
cumpliendo tan solo esta licencia CC:
Creative Commons License

miércoles, 6 de octubre de 2010

La PS3: Una historia de superación...

Si quieres ver la tira en 3D super-que-te-cagas, FullHD y extras en formato blu-ray, te has equivocado de tira. Si quieres ver la tira en grande, en cambio, pulsa en la imagen :-)


Ya lo he dicho varias veces; la estrategia de venta online de Sony me parece cojonuda; tanto, que hasta hace unos meses, yo era un cliente feliz, dejándome los dineros en canciones del singstar para reventarle los tímpanos a mis vecinos o juegos antiguos a precios no demasiado populares, pero suficientemente atractivos.

Pero ahora, Sony, al menos a mí, me tienes hasta los cojones. Lo que en principio fue una consola prometedora (potente, con posibilidad de instalar un linux, con una apuesta muy fuerte por la venta online de contenidos) se ha convertido en una trampa mortal; adiós al linux, cada vez que sacan una versión del firmware se hace obligatorio actualizar si quieres estar en el online (con lo que te obligan, últimamente, a perder cosas, como el ya mencionado linux); el colmo llega cuando no puedes ni siquiera arrancar algún juego (comprado online o físico) porque necesita la última versión del firmware; qué haces, ¿pierdes funcionalidades que Sony te había vendido o pierdes tus 70 eurazos de juego (30 si lo has comprado en Amazon U.K :-) )?


El colmo de esto es la última actualización; dado que la PS3 tienen un buen agujero de seguridad en el USB, Sony ha decidido cortar por lo sano otra vez; en vez de solucionar el problema quirúrjicamente, han decidido deshabilitar todos los dispositivos no licenciados; esto incluye mandos inalámbricos, conversores de PS2 a PS3... dejando a un buen número de personas con dos opciones; no actualizar y perder el online o actualizar y perder periféricos. No obstante, lo hacen por tu bien; es que "pueden explotar". Como mi paciencia.



Con todas estas restricciones, Sony está consiguiendo que la Scene se haya vuelto bastante curiosa y la conclusión de esto es obvia; El hack que permite ejecutar software no firmado de la PS3 ya es una realidad (por mucho que intenten hacer los abogados, que podrán parar la venta de sticks usb con el hack (aunque ilegalmente, al menos en algunos países, pero bueno, para eso usan a los abogados muchas veces las grandes empresas; para hacer de matón de colegio)

Lo siguiente de Sony, viendo la trayectoria, será mandar a Solid Snake a cada casa a pegarnos una paliza preventiva... y lo siguiente de la Scene, espero: poder ejecutar un linux directamente, sin máquina virtual ni zarandajas. @Marcan42 está en ello...



relacionadas:



¿quieres leer más tiras? Entra en el listado de tiras y escoge!

Puedes usar esta tira libremente,
cumpliendo tan solo esta licencia CC:
Creative Commons License

martes, 30 de marzo de 2010

145 - Encuentra las diferencias...


CASO 1:



CASO 2:


Soy un feliz poseedor de una PS3 con un linux (una ubuntu). Tengo 6 juegos , una película en Blu-ray, un juego comprado por la tienda online (Final Fantasy VII) y 2 packs de canciones para el Singstar. Sony ha demostrado que el modelo de negocio online es factible, es rentable y que cuando al consumidor le pones fácil algo, lo consume. Así de simple.

Desde ayer tengo otra cosa; la certeza de que Sony, aunque consiga hacer algo tan excepcionalmente bueno como la PS3, tiene un complejo de lemming que asusta y no aguanta mucho sin cagarla completamente...

Quitar el soporte de linux de la PS3 no es solo un disparo en el pie tremendo, es un abuso empresarial en toda regla; Digan lo que digan, quitar una funcionalidad por la que hemos pagado (independientemente de si la usa mucha gente o poca) es un abuso.

La solución de Sony, por otro lado, es hilarante; puedes conservar tu linux instalado, pero no te podrás volver a conectar al PSN Network, ni ver contenidos con DRM (¿esto incluye mi Final Fantasy VII? espero que no), ni jugar a juegos que exijan la nueva versión de firmware (que serán casi todos los que salgan con el tiempo suficiente, eso seguro), ni ver películas blu-ray que requieran la nueva versión. Es decir, por conservar una funcionalidad, pierdes el online y los juegos y películas nuevas.

En resumen; espero que esto sea un adelanto del April's fool day o, si no lo es, den marcha atrás y arreglen el problema de seguridad sin reventar una funcionalidad entera; que no apliquen el viejo adagio de "Para salvar la aldea, hay que quemarla"

Fuentes:

ALT1040

Comunicado oficial de Sony



¿quieres leer más tiras? Entra en el listado de tiras y escoge!

Puedes usar esta tira libremente,
cumpliendo tan solo esta licencia CC:
Creative Commons License